Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Citrix

Fecha de publicación 24/03/2026
Identificador
INCIBE-2026-219
Importancia
5 - Crítica
Recursos Afectados
  • NetScaler ADC y NetScaler Gateway 14.1 anterior a 14.1-66.59;
  • NetScaler ADC y NetScaler Gateway 13.1 anterior a 13.1-62.23;
  • NetScaler ADC FIPS y NDcPP anterior a 13.1-37.262.
Descripción

Citrix ha informado de dos vulnerabilidades, una de severidad crítica y otra alta que, en caso de se explotadas, podrían permitir la mezcla de sesiones y la sobre-lectura de memoria.

Solución

Actualizar los productos a alguna de las siguientes versiones:

  • NetScaler ADC y NetScaler Gateway 14.1-66.59 y versiones posteriores;
  • NetScaler ADC y NetScaler Gateway 13.1-62.23 y versiones posteriores de la 13.1;
  • NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1.37.262 y versiones posteriores de 13.1-FIPS y 13.1-NDcPP.
Detalle
  • CVE-2026-3055: una validación insuficiente de entradas cuando se configura como proveedor de identidades SAML provoca una sobre-lectura de memoria.
  • CVE-2026-4368: cuando el dispositivo está configurado como puerta de enlace (gateway) -SSL VPN, ICA Proxy, CVPN, RDP Proxy- o como servidor virtual AAA principal, puede producirse una condición de carrera, lo que provoca una confusión en las sesiones de usuario.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-3055 Crítica No Citrix
CVE-2026-4368 Alta No Citrix
Listado de referencias
Citrix (CTX696300) - NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2026-3055 and CVE-2026-4368
Etiquetas